Jak przypomina KPMG, dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku, uchyliła dotychczas obowiązujący akt prawny z 2016. Ten krok ma kluczowe znaczenie dla wzmocnienia cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W wyniku tych zmian lista sektorów, branż i obszarów gospodarki podlegających regulacjom w dziedzinie bezpieczeństwa cyfrowego została rozszerzona o dziewięć pozycji. Co istotne, dyrektywa NIS2 ma zastosowanie zarówno do podmiotów działających w sektorze publicznym, jak i prywatnym, które świadczą usługi lub prowadzą działalność w Unii Europejskiej, spełniając jednocześnie kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również sektor administracji publicznej.
- Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo istotnej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia COVID-19. Zauważono, że organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków - mówi Michał Kurek, partner, KPMG Consulting, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Jak się przygotować?
Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. Zdaniem tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, te zasady, które zostały przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Skoordynowane i dostosowane regulacje są kluczowe dla wzmocnienia odporności organizacji na cyberataki. Jednak ich spójność i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług, klientów i innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również stale monitorować, czy wprowadzane zmiany są zgodne z nowymi przepisami.
Czytaj w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >
- Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT (Operational Technology) nie jest jeszcze w takim stopniu upowszechniona, jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2 - zaznacza Łukasz Staniak, dyrektor, KPMG Consulting, Szef Grupy Kompetencyjnej Cyberbezpieczeństwa OT, KPMG w Polsce.
Pełny raport KPMG dostępny jest TUTAJ.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.